⚡️Расплата за господство: Минюст США бросает вызов империи Visa
💬 Министерство юстиции США подало иск против Visa, обвинив компанию в монополизации рынка дебетовых платежей. В иске утверждается, что Visa злоупотребляет своим доминирующим положением, препятствуя развитию конкурентов и новым инновационным решениям. По данным ведомства, более 60% дебетовых транзакций в США проходят через сеть Visa, позволяя компании взимать около $8 млрд в год за обработку операций.
Visa заключает эксклюзивные соглашения с банками и торговыми предприятиями, обязывающие проводить операции преимущественно через Visa, иначе клиентам грозят штрафы. Даже если другие платежные системы предлагают более низкие комиссии, использовать их становится невыгодно. Такие действия укрепляют монополию и подавляют конкуренцию.
Visa также заключает партнерские соглашения с потенциальными конкурентами, чтобы предотвратить их выход на рынок как самостоятельных игроков, предлагая им «денежную мотивацию» и угрожая введением дополнительных штрафов. Прокуратура отмечает, что Visa «незаконно накопила такую силу, что может взимать платы выше цен конкурентов». Такая деятельность приводит к повышению цен для потребителей.
В Минюсте заявили, что Visa предпочитает монополизировать рынок, а не инвестировать в инновации. Доминирующая позиция Visa позволяет корпорации устанавливать высокие комиссии и ограничивать конкуренцию, что приводит к дополнительным расходам для американских потребителей и бизнеса, а также замедляет внедрение инноваций в сфере дебетовых платежей.
Министерство юстиции надеется через суд вернуть конкуренцию на рынок дебетовых платежей, чтобы защитить интересы покупателей и бизнеса.
Visa – мировая корпорация с глобальным доходом в $18,8 млрд и высокой операционной маржой в 64% (по данным 2022 года). Только в Северной Америке операционная прибыль достигает 83%. Visa ежегодно взимает около $8 млрд комиссий за дебетовые транзакции в США, а общий объем платежей по всему миру через сеть Visa составляет $12,3 трлн.
🔔 ITsec NEWS
💬 Министерство юстиции США подало иск против Visa, обвинив компанию в монополизации рынка дебетовых платежей. В иске утверждается, что Visa злоупотребляет своим доминирующим положением, препятствуя развитию конкурентов и новым инновационным решениям. По данным ведомства, более 60% дебетовых транзакций в США проходят через сеть Visa, позволяя компании взимать около $8 млрд в год за обработку операций.
Visa заключает эксклюзивные соглашения с банками и торговыми предприятиями, обязывающие проводить операции преимущественно через Visa, иначе клиентам грозят штрафы. Даже если другие платежные системы предлагают более низкие комиссии, использовать их становится невыгодно. Такие действия укрепляют монополию и подавляют конкуренцию.
Visa также заключает партнерские соглашения с потенциальными конкурентами, чтобы предотвратить их выход на рынок как самостоятельных игроков, предлагая им «денежную мотивацию» и угрожая введением дополнительных штрафов. Прокуратура отмечает, что Visa «незаконно накопила такую силу, что может взимать платы выше цен конкурентов». Такая деятельность приводит к повышению цен для потребителей.
В Минюсте заявили, что Visa предпочитает монополизировать рынок, а не инвестировать в инновации. Доминирующая позиция Visa позволяет корпорации устанавливать высокие комиссии и ограничивать конкуренцию, что приводит к дополнительным расходам для американских потребителей и бизнеса, а также замедляет внедрение инноваций в сфере дебетовых платежей.
Министерство юстиции надеется через суд вернуть конкуренцию на рынок дебетовых платежей, чтобы защитить интересы покупателей и бизнеса.
Visa – мировая корпорация с глобальным доходом в $18,8 млрд и высокой операционной маржой в 64% (по данным 2022 года). Только в Северной Америке операционная прибыль достигает 83%. Visa ежегодно взимает около $8 млрд комиссий за дебетовые транзакции в США, а общий объем платежей по всему миру через сеть Visa составляет $12,3 трлн.
🔔 ITsec NEWS
⚡️Печать документов в Linux приводит к захвату компьютера
💬 На днях была раскрыта критическая уязвимость в Unix-системе печати CUPS, затрагивающая множество Linux-систем по всему миру. Уязвимость способна привести к захвату компьютера через сеть или интернет при запуске задания на печать документов. Проблему усугубляет то, что обновления для устранения проблемы пока недоступны.
Исследователь безопасности Симоне Маргарителли, обнаруживший и сообщивший об этих уязвимостях, опубликовал их подробное описание. Уязвимости затрагивают большинство дистрибутивов Linux, некоторые версии BSD, а также, возможно, ChromeOS и Solaris. Критическая угроза исходит от компонента cups-browsed, который может быть использован злоумышленниками для захвата системы при старте задания на печать.
Для успешной эксплуатации злоумышленнику необходимо иметь доступ к сервису CUPS на порте 631 и дождаться запуска задания на печать на уязвимой системе. В случае недоступности этого порта, возможен вариант подмены zeroconf, mDNS или DNS-SD для атаки.
Всего исследователем было выявлено четыре уязвимости:
CVE-2024-47176 (cups-browsed до версии 2.0.1): неконтролируемый доступ к UDP-порту 631.
CVE-2024-47076 (libcupsfilters до версии 2.1b1): отсутствие проверки атрибутов при выполнении IPP-запросов.
CVE-2024-47175 (libppd): отсутствие проверки атрибутов при записи в PPD-файл.
CVE-2024-47177 (cups-filters до версии 2.0.1): возможность исполнения команд из данных PPD-файла.
Последовательное использование этих уязвимостей позволяет атакующему направить пакет на порт 631, заставить уязвимую систему обратиться к серверу злоумышленника, передать вредоносные данные, и, при запуске печати, выполнить зловредные команды.
Хотя угроза кажется значительной, для её эксплуатации требуется взаимодействие пользователя, который должен запустить задание на печать. По словам Маргарителли, уязвимость, вероятно, не достигает заявленного показателя в 9.9 из 10 по CVSS, как предполагалось ранее, однако всё ещё представляет угрозу.
По мнению основателя компании watchTowr Бенджамина Харриса, выявленные недостатки безопасности затрагивают лишь небольшой процент Linux-систем, доступных из интернета. Тем не менее, он рекомендует организациям проверить свои системы, чтобы избежать возможных инцидентов кибербезопасности.
Сам Маргарителли предлагает предпринять следующие шаги для защиты:
Отключить или удалить сервис cups-browsed;
Блокировать доступ к UDP-порту 631 и DNS-SD;
Обновить CUPS при выпуске исправлений.
Примечательно, что Маргарителли столкнулся с рядом трудностей при сообщении об уязвимости в CUPS. Несмотря на серьёзность обнаруженной проблемы, которую подтвердили такие компании, как Canonical и Red Hat, разработчики CUPS неохотно принимали информацию о найденных ошибках.
По словам Маргарителли, вместо быстрого устранения уязвимостей они предпочли спорить о том, влияют ли некоторые из них на безопасность, и проявляли снисходительное отношение к замечаниям исследователя. Маргарителли считает эту ситуацию примером того, как не следует обращаться с разглашением уязвимостей, и подчёркивает ответственность разработчиков программного обеспечения, которое работает более 20 лет на множестве устройств по всему миру.
Пока необходимые патчи не выпущены, рекомендуется принять предлагаемые меры для минимизации рисков.
🔔 ITsec NEWS
💬 На днях была раскрыта критическая уязвимость в Unix-системе печати CUPS, затрагивающая множество Linux-систем по всему миру. Уязвимость способна привести к захвату компьютера через сеть или интернет при запуске задания на печать документов. Проблему усугубляет то, что обновления для устранения проблемы пока недоступны.
Исследователь безопасности Симоне Маргарителли, обнаруживший и сообщивший об этих уязвимостях, опубликовал их подробное описание. Уязвимости затрагивают большинство дистрибутивов Linux, некоторые версии BSD, а также, возможно, ChromeOS и Solaris. Критическая угроза исходит от компонента cups-browsed, который может быть использован злоумышленниками для захвата системы при старте задания на печать.
Для успешной эксплуатации злоумышленнику необходимо иметь доступ к сервису CUPS на порте 631 и дождаться запуска задания на печать на уязвимой системе. В случае недоступности этого порта, возможен вариант подмены zeroconf, mDNS или DNS-SD для атаки.
Всего исследователем было выявлено четыре уязвимости:
CVE-2024-47176 (cups-browsed до версии 2.0.1): неконтролируемый доступ к UDP-порту 631.
CVE-2024-47076 (libcupsfilters до версии 2.1b1): отсутствие проверки атрибутов при выполнении IPP-запросов.
CVE-2024-47175 (libppd): отсутствие проверки атрибутов при записи в PPD-файл.
CVE-2024-47177 (cups-filters до версии 2.0.1): возможность исполнения команд из данных PPD-файла.
Последовательное использование этих уязвимостей позволяет атакующему направить пакет на порт 631, заставить уязвимую систему обратиться к серверу злоумышленника, передать вредоносные данные, и, при запуске печати, выполнить зловредные команды.
Хотя угроза кажется значительной, для её эксплуатации требуется взаимодействие пользователя, который должен запустить задание на печать. По словам Маргарителли, уязвимость, вероятно, не достигает заявленного показателя в 9.9 из 10 по CVSS, как предполагалось ранее, однако всё ещё представляет угрозу.
По мнению основателя компании watchTowr Бенджамина Харриса, выявленные недостатки безопасности затрагивают лишь небольшой процент Linux-систем, доступных из интернета. Тем не менее, он рекомендует организациям проверить свои системы, чтобы избежать возможных инцидентов кибербезопасности.
Сам Маргарителли предлагает предпринять следующие шаги для защиты:
Отключить или удалить сервис cups-browsed;
Блокировать доступ к UDP-порту 631 и DNS-SD;
Обновить CUPS при выпуске исправлений.
Примечательно, что Маргарителли столкнулся с рядом трудностей при сообщении об уязвимости в CUPS. Несмотря на серьёзность обнаруженной проблемы, которую подтвердили такие компании, как Canonical и Red Hat, разработчики CUPS неохотно принимали информацию о найденных ошибках.
По словам Маргарителли, вместо быстрого устранения уязвимостей они предпочли спорить о том, влияют ли некоторые из них на безопасность, и проявляли снисходительное отношение к замечаниям исследователя. Маргарителли считает эту ситуацию примером того, как не следует обращаться с разглашением уязвимостей, и подчёркивает ответственность разработчиков программного обеспечения, которое работает более 20 лет на множестве устройств по всему миру.
Пока необходимые патчи не выпущены, рекомендуется принять предлагаемые меры для минимизации рисков.
🔔 ITsec NEWS
⚡️KLogEXE и FPSpy: что стоит знать о новых киберугрозах?
💬 Исследователи из компании Palo Alto Networks зафиксировали свежую активность северокорейской группы хакеров Kimsuky, которая использовала в своих атаках два новых образца вредоносного ПО — KLogEXE и FPSpy. Специалисты заявляют, что данные программы расширяют арсенал группировки, демонстрируя эволюцию и растущие возможности.
Группировка Kimsuky, известная также как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail и Velvet Chollima, действует с 2012 года и специализируется на целевом фишинге — отправке вредоносных писем под видом сообщений от доверенных источников.
По заявлению Ассафа Дахана, директора отдела исследований угроз Palo Alto Networks, новые вредоносные программы распространяются преимущественно через фишинговые атаки. Хакеры используют тщательно составленные письма с содержанием, побуждающим жертву открыть ZIP-файл, в котором и скрыты вредоносные файлы. После их запуска активируется цепочка заражения, в конечном итоге приводящая к загрузке KLogEXE и FPSpy.
KLogEXE представляет собой версию кейлоггера InfoKey, написанную на C++, который ранее был обнаружен в рамках кампании Kimsuky против японских организаций. FPSpy является вариантом бэкдора, впервые обнаруженного в 2022 году компанией ASEC, с особенностями, схожими с вредоносным ПО KGH_SPY, описанным Cyberseason в 2020 году.
Оба вредоносных ПО оснащены функциями для сбора данных о запущенных приложениях на заражённом устройстве, перехвата нажатий клавиш и кликов мыши, а также сбора системной информации. FPSpy также способен скачивать и выполнять дополнительные загрузки, запускать произвольные команды и проводить анализ дисков, папок и файлов на инфицированном устройстве.
Исследователи Unit 42 установили, что в исходном коде KLogEXE и FPSpy имеются сходства, указывающие на их общую разработку. Основными целями текущей кампании Kimsuky выступают организации из Японии и Южной Кореи, и, по словам Дахана, эта активность носит целевой характер, затрагивая только определённые страны и отрасли.
Постоянное совершенствование хакерских групп подчёркивает необходимость непрерывного обучения и адаптации защитных мер. Как в природе, где хищники и жертвы эволюционируют вместе, так и в цифровом пространстве идёт непрерывная гонка между атакующими и обороняющимися. Только осознавая эту динамику и инвестируя в развитие навыков и технологий защиты, организации смогут обеспечить свою безопасность.
🔔 ITsec NEWS
💬 Исследователи из компании Palo Alto Networks зафиксировали свежую активность северокорейской группы хакеров Kimsuky, которая использовала в своих атаках два новых образца вредоносного ПО — KLogEXE и FPSpy. Специалисты заявляют, что данные программы расширяют арсенал группировки, демонстрируя эволюцию и растущие возможности.
Группировка Kimsuky, известная также как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail и Velvet Chollima, действует с 2012 года и специализируется на целевом фишинге — отправке вредоносных писем под видом сообщений от доверенных источников.
По заявлению Ассафа Дахана, директора отдела исследований угроз Palo Alto Networks, новые вредоносные программы распространяются преимущественно через фишинговые атаки. Хакеры используют тщательно составленные письма с содержанием, побуждающим жертву открыть ZIP-файл, в котором и скрыты вредоносные файлы. После их запуска активируется цепочка заражения, в конечном итоге приводящая к загрузке KLogEXE и FPSpy.
KLogEXE представляет собой версию кейлоггера InfoKey, написанную на C++, который ранее был обнаружен в рамках кампании Kimsuky против японских организаций. FPSpy является вариантом бэкдора, впервые обнаруженного в 2022 году компанией ASEC, с особенностями, схожими с вредоносным ПО KGH_SPY, описанным Cyberseason в 2020 году.
Оба вредоносных ПО оснащены функциями для сбора данных о запущенных приложениях на заражённом устройстве, перехвата нажатий клавиш и кликов мыши, а также сбора системной информации. FPSpy также способен скачивать и выполнять дополнительные загрузки, запускать произвольные команды и проводить анализ дисков, папок и файлов на инфицированном устройстве.
Исследователи Unit 42 установили, что в исходном коде KLogEXE и FPSpy имеются сходства, указывающие на их общую разработку. Основными целями текущей кампании Kimsuky выступают организации из Японии и Южной Кореи, и, по словам Дахана, эта активность носит целевой характер, затрагивая только определённые страны и отрасли.
Постоянное совершенствование хакерских групп подчёркивает необходимость непрерывного обучения и адаптации защитных мер. Как в природе, где хищники и жертвы эволюционируют вместе, так и в цифровом пространстве идёт непрерывная гонка между атакующими и обороняющимися. Только осознавая эту динамику и инвестируя в развитие навыков и технологий защиты, организации смогут обеспечить свою безопасность.
🔔 ITsec NEWS
⚡️Взлом за $3,75 млн: как один хакер пошатнул доверие к фондовому рынку
💬В Великобритании был задержан 39-летний гражданин Роберт Вестбрук, который обвиняется в хакерских атаках на пять публичных компаний с целью получения конфиденциальной информации о корпоративных прибылях. По версии следствия, эти действия позволили ему заработать около 3,75 миллиона долларов на биржевых операциях.
Согласно данным Министерства юстиции США, Вестбрук взламывал системы компаний с января 2019 года по август 2020 года, получая доступ к информации перед 14 различными публикациями о прибыли компаний. Для взлома использовались сбросы паролей в аккаунтах Office365, которые принадлежали топ-менеджерам. После получения доступа к корпоративной почте, он применял автоматическую переадресацию писем на свои анонимные аккаунты, чтобы следить за корпоративной перепиской.
На основе полученной информации Вестбрук совершал операции на фондовом рынке, покупая и продавая акции до публикации отчетов о прибылях компаний. Власти США требуют его экстрадиции для предъявления обвинений в мошенничестве, торговле ценными бумагами с использованием инсайдерской информации и компьютерных преступлениях.
В случае признания виновным, Вестбруку грозит многолетнее тюремное заключение по каждому из предъявленных обвинений. Американские следственные органы также сообщили, что он пытался скрыть свою личность, используя анонимные почтовые аккаунты, VPN-сервисы и транзакции в биткоинах.
Комиссия по ценным бумагам и биржам США (SEC) требует от Вестбрука возврата полученных 3,75 миллиона долларов и уплаты штрафов, размер которых пока не разглашается.
Этот случай не единственный в подобной категории преступлений. В сентябре прошлого года российский гражданин Владислав Клюшин был приговорен к девяти годам лишения свободы за аналогичную схему с незаконными операциями на сумму около 93 миллионов долларов.
🔔 ITsec NEWS
💬В Великобритании был задержан 39-летний гражданин Роберт Вестбрук, который обвиняется в хакерских атаках на пять публичных компаний с целью получения конфиденциальной информации о корпоративных прибылях. По версии следствия, эти действия позволили ему заработать около 3,75 миллиона долларов на биржевых операциях.
Согласно данным Министерства юстиции США, Вестбрук взламывал системы компаний с января 2019 года по август 2020 года, получая доступ к информации перед 14 различными публикациями о прибыли компаний. Для взлома использовались сбросы паролей в аккаунтах Office365, которые принадлежали топ-менеджерам. После получения доступа к корпоративной почте, он применял автоматическую переадресацию писем на свои анонимные аккаунты, чтобы следить за корпоративной перепиской.
На основе полученной информации Вестбрук совершал операции на фондовом рынке, покупая и продавая акции до публикации отчетов о прибылях компаний. Власти США требуют его экстрадиции для предъявления обвинений в мошенничестве, торговле ценными бумагами с использованием инсайдерской информации и компьютерных преступлениях.
В случае признания виновным, Вестбруку грозит многолетнее тюремное заключение по каждому из предъявленных обвинений. Американские следственные органы также сообщили, что он пытался скрыть свою личность, используя анонимные почтовые аккаунты, VPN-сервисы и транзакции в биткоинах.
Комиссия по ценным бумагам и биржам США (SEC) требует от Вестбрука возврата полученных 3,75 миллиона долларов и уплаты штрафов, размер которых пока не разглашается.
Этот случай не единственный в подобной категории преступлений. В сентябре прошлого года российский гражданин Владислав Клюшин был приговорен к девяти годам лишения свободы за аналогичную схему с незаконными операциями на сумму около 93 миллионов долларов.
🔔 ITsec NEWS
⚡️35 000 ботов ежедневно: как ngioweb стал главным киберпреступным конвейером
💬 Команда Black Lotus Labs при Lumen Technologies раскрыла новую схему работы ботнета ngioweb, который является основой одного из крупнейших криминальных прокси-сервисов NSOCKS. Этот сервис ежедневно использует около 35 000 ботов в 180 странах, 60% которых расположены в США.
Расследование показало, что около 80% ботов NSOCKS связаны с ботнетом ngioweb, атакующим устройства IoT и маршрутизаторы SOHO. Через эту инфраструктуру злоумышленники обфусцируют вредоносный трафик, занимаются фишингом и организуют DDoS-атаки.
Lumen Technologies удалось идентифицировать более 180 серверов командного управления (C2), которые используются для сокрытия личности пользователей. Эти серверы не только обеспечивают работу NSOCKS, но и позволяют различным преступным группировкам, таким как Shopsocks5, использовать инфраструктуру ботнета.
Анализ ngioweb показал, что он использует множество эксплойтов для уязвимых устройств, но не задействует так называемые «нулевые дни». Вместо этого операторы ботнета активно эксплуатируют устаревшие версии прошивок и ПО.
Одной из главных угроз является то, что заражённые устройства часто используются несколькими преступными группами одновременно. Lumen Technologies заблокировала весь трафик, связанный с ботнетом ngioweb, на своей сети и опубликовала индикаторы компрометации (IoC), чтобы помочь другим компаниям в борьбе с этим ботнетом.
NSOCKS, помимо стандартных прокси-функций, позволяет злоумышленникам настраивать фильтры по доменам, включая «.gov» и «.edu», что открывает возможности для целевых атак на госструктуры и образовательные организации. Архитектура ботнета поддерживает долгосрочную активность ботов — до 40% устройств остаются заражёнными более месяца.
Для противодействия угрозе специалисты рекомендуют регулярно обновлять прошивки маршрутизаторов, избегать стандартных паролей и защищать интерфейсы управления. Организациям следует активно блокировать подозрительные IP-адреса и внедрять дополнительные меры защиты для предотвращения атак.
Исследование подтвердило, что прокси-ботнеты становятся всё более популярными среди киберпреступников, что требует активного взаимодействия и совместных действий со стороны индустрии кибербезопасности.
🔔 ITsec NEWS
💬 Команда Black Lotus Labs при Lumen Technologies раскрыла новую схему работы ботнета ngioweb, который является основой одного из крупнейших криминальных прокси-сервисов NSOCKS. Этот сервис ежедневно использует около 35 000 ботов в 180 странах, 60% которых расположены в США.
Расследование показало, что около 80% ботов NSOCKS связаны с ботнетом ngioweb, атакующим устройства IoT и маршрутизаторы SOHO. Через эту инфраструктуру злоумышленники обфусцируют вредоносный трафик, занимаются фишингом и организуют DDoS-атаки.
Lumen Technologies удалось идентифицировать более 180 серверов командного управления (C2), которые используются для сокрытия личности пользователей. Эти серверы не только обеспечивают работу NSOCKS, но и позволяют различным преступным группировкам, таким как Shopsocks5, использовать инфраструктуру ботнета.
Анализ ngioweb показал, что он использует множество эксплойтов для уязвимых устройств, но не задействует так называемые «нулевые дни». Вместо этого операторы ботнета активно эксплуатируют устаревшие версии прошивок и ПО.
Одной из главных угроз является то, что заражённые устройства часто используются несколькими преступными группами одновременно. Lumen Technologies заблокировала весь трафик, связанный с ботнетом ngioweb, на своей сети и опубликовала индикаторы компрометации (IoC), чтобы помочь другим компаниям в борьбе с этим ботнетом.
NSOCKS, помимо стандартных прокси-функций, позволяет злоумышленникам настраивать фильтры по доменам, включая «.gov» и «.edu», что открывает возможности для целевых атак на госструктуры и образовательные организации. Архитектура ботнета поддерживает долгосрочную активность ботов — до 40% устройств остаются заражёнными более месяца.
Для противодействия угрозе специалисты рекомендуют регулярно обновлять прошивки маршрутизаторов, избегать стандартных паролей и защищать интерфейсы управления. Организациям следует активно блокировать подозрительные IP-адреса и внедрять дополнительные меры защиты для предотвращения атак.
Исследование подтвердило, что прокси-ботнеты становятся всё более популярными среди киберпреступников, что требует активного взаимодействия и совместных действий со стороны индустрии кибербезопасности.
🔔 ITsec NEWS
⚡️Меньше рисков, больше контроля: Windows 11 поднимает планку безопасности
💬 Компания Microsoft на конференции Ignite 2024 представила ряд нововведений в области безопасности Windows, подчёркивая приверженность защите данных пользователей и организаций. Одним из ключевых объявлений стало продолжение инициативы Secure Future Initiative (SFI), направленной на создание безопасной платформы для пользователей и разработчиков.
Microsoft усилила защиту в Windows 11, вводя функции, такие как Quick Machine Recovery. Эта технология позволяет администраторам устранять проблемы на устройствах удалённо, даже если операционная система не загружается. Решение будет доступно участникам программы Windows Insider уже в начале 2025 года.
Компания также сообщила об интеграции новых механизмов защиты от фишинга, улучшенных методов управления привилегиями пользователей и ужесточении контроля над установкой приложений и драйверов. Новая функция Administrator Protection позволяет временно предоставлять права администратора только для выполнения конкретной задачи, минимизируя риски злоупотребления.
В рамках инициативы Windows Resiliency представлено несколько обновлений, включая улучшения в защите идентификационных данных, такие как Windows Hello и Personal Data Encryption. Эти технологии обеспечивают безопасное шифрование данных и защищают от кражи учётных записей.
Кроме того, Microsoft переходит на более безопасные языки программирования, такие как Rust, снижая вероятность уязвимостей. Кроме того, для улучшения безопасности экосистемы компания внедряет политику Safe Deployment Practices, чтобы минимизировать возможные сбои при обновлении продуктов.
Windows 11, по словам Microsoft, стала более защищённой системой по умолчанию благодаря базовым аппаратным требованиям, таким как TPM 2.0 и Credential Guard. Новые устройства также оснащаются процессорами Microsoft Pluton, обеспечивающими надёжную защиту от атак на прошивку.
Нововведения, включая поддержку горячих исправлений (Hotpatch) и обновления политик конфигурации (Config Refresh), позволят предприятиям быстрее реагировать на угрозы и минимизировать простой систем. А новая функция Zero Trust DNS обеспечит строгий контроль за сетевыми соединениями на уровне доменных имён.
Компания заявила, что результаты её усилий снизили количество инцидентов безопасности на 62%, а число атак на прошивку и кражу идентификационных данных сократилось втрое. Эти меры подчёркивают стремление Microsoft сделать Windows не только платформой для инноваций, но и надёжной защитой для пользователей и предприятий в условиях растущих киберугроз.
🔔 ITsec NEWS
💬 Компания Microsoft на конференции Ignite 2024 представила ряд нововведений в области безопасности Windows, подчёркивая приверженность защите данных пользователей и организаций. Одним из ключевых объявлений стало продолжение инициативы Secure Future Initiative (SFI), направленной на создание безопасной платформы для пользователей и разработчиков.
Microsoft усилила защиту в Windows 11, вводя функции, такие как Quick Machine Recovery. Эта технология позволяет администраторам устранять проблемы на устройствах удалённо, даже если операционная система не загружается. Решение будет доступно участникам программы Windows Insider уже в начале 2025 года.
Компания также сообщила об интеграции новых механизмов защиты от фишинга, улучшенных методов управления привилегиями пользователей и ужесточении контроля над установкой приложений и драйверов. Новая функция Administrator Protection позволяет временно предоставлять права администратора только для выполнения конкретной задачи, минимизируя риски злоупотребления.
В рамках инициативы Windows Resiliency представлено несколько обновлений, включая улучшения в защите идентификационных данных, такие как Windows Hello и Personal Data Encryption. Эти технологии обеспечивают безопасное шифрование данных и защищают от кражи учётных записей.
Кроме того, Microsoft переходит на более безопасные языки программирования, такие как Rust, снижая вероятность уязвимостей. Кроме того, для улучшения безопасности экосистемы компания внедряет политику Safe Deployment Practices, чтобы минимизировать возможные сбои при обновлении продуктов.
Windows 11, по словам Microsoft, стала более защищённой системой по умолчанию благодаря базовым аппаратным требованиям, таким как TPM 2.0 и Credential Guard. Новые устройства также оснащаются процессорами Microsoft Pluton, обеспечивающими надёжную защиту от атак на прошивку.
Нововведения, включая поддержку горячих исправлений (Hotpatch) и обновления политик конфигурации (Config Refresh), позволят предприятиям быстрее реагировать на угрозы и минимизировать простой систем. А новая функция Zero Trust DNS обеспечит строгий контроль за сетевыми соединениями на уровне доменных имён.
Компания заявила, что результаты её усилий снизили количество инцидентов безопасности на 62%, а число атак на прошивку и кражу идентификационных данных сократилось втрое. Эти меры подчёркивают стремление Microsoft сделать Windows не только платформой для инноваций, но и надёжной защитой для пользователей и предприятий в условиях растущих киберугроз.
🔔 ITsec NEWS
⚡️Прибыль vs нацбезопасность: США в тисках китайского влияния
💬 Блюменталь отметил, что тесные экономические связи между США и Китаем создают серьёзный риск для страны. Особое внимание сенатор уделил влиянию Илона Маска и зависимости Пентагона от услуг SpaceX. Сенатор подчеркнул, что значительная часть производства и продаж Tesla приходится на Китай. Блюменталь отметил, что Маск публично поддерживает политику Китая, включая позицию по Тайваню, чтобы сохранить свои интересы в стране. По мнению Блюменталя, китайские власти пытаются использовать Маска для влияния на правительство США.
Критике подверглась и компания Apple. Блюменталь подчеркнул, что компания выполняет требования Китая по цензуре и слежке, поскольку значительная часть её поставщиков и объём продаж связаны с этой страной. Сенатор выразил сомнение в том, что SpaceX, Tesla и Apple будут ставить безопасность США выше своих доходов.
На слушаниях также обсуждалась кибершпионская деятельность Китая. Эксперты из CrowdStrike сообщили о новой группе хакеров, названной Liminal Panda. Группировка с 2020 года проникает в телекоммуникационные сети в Южной Азии и Африке. Хакеры используют вредоносные программы, а также публичные инструменты и прокси, чтобы получать доступ к сетям, похищать данные и следить за пользователями. LIMINAL PANDA использует собственные программы и инструменты TinyShell и ProxyChains, чтобы скрывать свои действия и управлять взломанными системами.
Liminal Panda специализируется на эксплуатации устаревших протоколов связи, которые плохо защищены. В одном из недавних инцидентов Liminal Panda установила несколько каналов доступа в целевые сети, эмулировала протоколы GSM для управления атаками и похищала данные о мобильных пользователях, метаданные звонков и текстовые сообщения. Эти действия позволили шпионить за отдельными пользователями, собирая данные об их устройствах.
По словам CrowdStrike, китайские хакеры стали работать более точно и целенаправленно. Они сосредотачиваются на получении политической, военной и научной информации, важной для интересов Китая. Вместо быстрых атак они теперь создают долговременный доступ к сетям, чтобы собирать данные и использовать их для будущих целей.
Особое внимание уделили группе Vanguard Panda ( Volt Typhoon ), которая, по данным специалистов, уже проникла в критически важные системы США. Это может быть подготовкой к возможным атакам в случае обострения конфликта вокруг Тайваня. Эксперты считают, что такие действия могут помешать логистике и военным операциям, что замедлит реакцию США на кризис.
Ранее Китай заявил , что хакерская группа Volt Typhoon — это вымышленная угроза, созданная США и их союзниками. По мнению китайских властей, спецслужбы США и страны альянса «Пять глаз» занимаются кибершпионажем против Китая, Франции, Германии, Японии и других государств, а также осуществляют слежку за пользователями интернета по всему миру. В июле китайские эксперты уже публиковали отчёт, где Volt Typhoon была названа дезинформационной кампанией американских спецслужб.
Volt Typhoon — это условное название китайской кибершпионской группы, которая, по данным западных исследователей, с 2019 года занимается проникновением в критические инфраструктуры. Группа использует роутеры, межсетевые экраны и VPN для скрытия своих действий. В августе 2024 года Volt Typhoon была связана с эксплуатацией zero-day в системе Versa Director, что позволило установить вредоносное ПО для кражи данных.
24 мая 2023 года страны альянса Five Eyes выпустили совместное заявление о деятельности Volt Typhoon, указывая на ее связь с Китаем. Основой для таких выводов послужило обнаружение группы компанией Microsoft, однако китайские специалисты провели собственное расследование и пришли к выводу, что деятельность группы больше соответствует обычным киберпреступлениям, не имеющим государственной поддержки.
🔔 ITsec NEWS
💬 Блюменталь отметил, что тесные экономические связи между США и Китаем создают серьёзный риск для страны. Особое внимание сенатор уделил влиянию Илона Маска и зависимости Пентагона от услуг SpaceX. Сенатор подчеркнул, что значительная часть производства и продаж Tesla приходится на Китай. Блюменталь отметил, что Маск публично поддерживает политику Китая, включая позицию по Тайваню, чтобы сохранить свои интересы в стране. По мнению Блюменталя, китайские власти пытаются использовать Маска для влияния на правительство США.
Критике подверглась и компания Apple. Блюменталь подчеркнул, что компания выполняет требования Китая по цензуре и слежке, поскольку значительная часть её поставщиков и объём продаж связаны с этой страной. Сенатор выразил сомнение в том, что SpaceX, Tesla и Apple будут ставить безопасность США выше своих доходов.
На слушаниях также обсуждалась кибершпионская деятельность Китая. Эксперты из CrowdStrike сообщили о новой группе хакеров, названной Liminal Panda. Группировка с 2020 года проникает в телекоммуникационные сети в Южной Азии и Африке. Хакеры используют вредоносные программы, а также публичные инструменты и прокси, чтобы получать доступ к сетям, похищать данные и следить за пользователями. LIMINAL PANDA использует собственные программы и инструменты TinyShell и ProxyChains, чтобы скрывать свои действия и управлять взломанными системами.
Liminal Panda специализируется на эксплуатации устаревших протоколов связи, которые плохо защищены. В одном из недавних инцидентов Liminal Panda установила несколько каналов доступа в целевые сети, эмулировала протоколы GSM для управления атаками и похищала данные о мобильных пользователях, метаданные звонков и текстовые сообщения. Эти действия позволили шпионить за отдельными пользователями, собирая данные об их устройствах.
По словам CrowdStrike, китайские хакеры стали работать более точно и целенаправленно. Они сосредотачиваются на получении политической, военной и научной информации, важной для интересов Китая. Вместо быстрых атак они теперь создают долговременный доступ к сетям, чтобы собирать данные и использовать их для будущих целей.
Особое внимание уделили группе Vanguard Panda ( Volt Typhoon ), которая, по данным специалистов, уже проникла в критически важные системы США. Это может быть подготовкой к возможным атакам в случае обострения конфликта вокруг Тайваня. Эксперты считают, что такие действия могут помешать логистике и военным операциям, что замедлит реакцию США на кризис.
Ранее Китай заявил , что хакерская группа Volt Typhoon — это вымышленная угроза, созданная США и их союзниками. По мнению китайских властей, спецслужбы США и страны альянса «Пять глаз» занимаются кибершпионажем против Китая, Франции, Германии, Японии и других государств, а также осуществляют слежку за пользователями интернета по всему миру. В июле китайские эксперты уже публиковали отчёт, где Volt Typhoon была названа дезинформационной кампанией американских спецслужб.
Volt Typhoon — это условное название китайской кибершпионской группы, которая, по данным западных исследователей, с 2019 года занимается проникновением в критические инфраструктуры. Группа использует роутеры, межсетевые экраны и VPN для скрытия своих действий. В августе 2024 года Volt Typhoon была связана с эксплуатацией zero-day в системе Versa Director, что позволило установить вредоносное ПО для кражи данных.
24 мая 2023 года страны альянса Five Eyes выпустили совместное заявление о деятельности Volt Typhoon, указывая на ее связь с Китаем. Основой для таких выводов послужило обнаружение группы компанией Microsoft, однако китайские специалисты провели собственное расследование и пришли к выводу, что деятельность группы больше соответствует обычным киберпреступлениям, не имеющим государственной поддержки.
🔔 ITsec NEWS
⚡️Монополии конец: США готовят распад Google
💬 Министерство юстиции США предложило обязать Google продать браузер Chrome, чтобы восстановить конкуренцию на рынке онлайн-поиска. Возможность отделения Android также остается открытой. Такие меры направлены на устранение монополии Google, которую, по мнению суда, компания незаконно удерживает в сфере поисковых систем и рекламы.
Документ с предложениями уточняет возможные шаги по исправлению ситуации. В списке мер — от ограничений на определенные соглашения до более радикальных решений, включая разделение компании. Особое внимание уделено отделению браузера Chrome, который правительство рассматривает как ключевой инструмент для интернет-поиска.
Хотя Android пока не фигурирует среди обязательных к разделению активов, такая возможность рассматривается. Такая угроза может стать стимулом для Google соблюдать предлагаемые правила, включая запрет на использование Android для продвижения собственной поисковой системы. Если предложенные меры окажутся недостаточными для восстановления конкуренции, отделение Android также может быть осуществлено.
Дополнительно Минюст требует запретить Google предоставлять денежные вознаграждения или другие ценности сторонним компаниям, например Apple или производителям смартфонов, за установку своего поисковика по умолчанию или ограничение работы конкурентов. Также предлагается запрет на продвижение собственной поисковой системы на платформах компании, таких как YouTube.
Среди других мер — предоставление конкурентам доступа к индексу поисковой системы Google на основе маржинальной стоимости, обязательство делиться результатами поиска и данными запросов из США в течение 10 лет, а также возможность для веб-сайтов отказаться от включения их контента в ИИ-обзоры Google без ухудшения позиций в результатах поиска.
Google раскритиковала предложения. Юрист Alphabet в своем блоге назвал действия Министерства юстиции «чрезмерными» и заявил, что они угрожают технологическому лидерству США. По мнению Google, предложение раскрывать как инновации компании, так и поисковые запросы пользователей может привести к передаче данных неизвестным компаниям, включая иностранные.
Ещё одним последствием предложений может стать сокращение инвестиций в развитие искусственного интеллекта. Google отметила, что компания занимает лидирующие позиции в этой сфере, и ограничения могут замедлить темпы инноваций, что негативно отразится на глобальной технологической конкурентоспособности США.
Одной из самых обсуждаемых мер стало требование к Google внедрить сразу два экрана выбора поисковой системы на устройствах Pixel. Дизайн экранов должен одобряться специально созданным техническим комитетом, что, как считают в компании, приведёт к излишнему вмешательству в её деятельность.
Google намерена подать свои предложения в следующем месяце и продолжит защищать свою позицию в дальнейшем. Представители компании напомнили, что суд ранее отметил высокое качество поисковой системы Google, которая заслужила доверие сотен миллионов пользователей по всему миру.
Министерство юстиции планирует обновить свои предложения к марту, а в апреле пройдет двухнедельное разбирательство по определению окончательных мер. Суд должен будет решить, как лучше восстановить конкуренцию. Примечательно, что процесс проходит на фоне смены администрации в Министерстве юстиции, что может повлиять на итоговые решения. Однако дело было начато еще при администрации Трампа, поэтому претензии несут долгосрочный характер.
Недавно Microsoft обвинила Google в ведении тайной кампании ради одобрения властей и антимонопольных органов Европы. По мнению Microsoft, Google намеренно скрывает свою роль в новом лоббистском объединении Open Cloud Coalition , чтобы показать инициативу как независимую. По утверждениям Microsoft, Google основала коалицию, но специально вывела на первый план небольшие европейские компании, скрыв свою собственную роль в управлении и финансировании.
🔔 ITsec NEWS
💬 Министерство юстиции США предложило обязать Google продать браузер Chrome, чтобы восстановить конкуренцию на рынке онлайн-поиска. Возможность отделения Android также остается открытой. Такие меры направлены на устранение монополии Google, которую, по мнению суда, компания незаконно удерживает в сфере поисковых систем и рекламы.
Документ с предложениями уточняет возможные шаги по исправлению ситуации. В списке мер — от ограничений на определенные соглашения до более радикальных решений, включая разделение компании. Особое внимание уделено отделению браузера Chrome, который правительство рассматривает как ключевой инструмент для интернет-поиска.
Хотя Android пока не фигурирует среди обязательных к разделению активов, такая возможность рассматривается. Такая угроза может стать стимулом для Google соблюдать предлагаемые правила, включая запрет на использование Android для продвижения собственной поисковой системы. Если предложенные меры окажутся недостаточными для восстановления конкуренции, отделение Android также может быть осуществлено.
Дополнительно Минюст требует запретить Google предоставлять денежные вознаграждения или другие ценности сторонним компаниям, например Apple или производителям смартфонов, за установку своего поисковика по умолчанию или ограничение работы конкурентов. Также предлагается запрет на продвижение собственной поисковой системы на платформах компании, таких как YouTube.
Среди других мер — предоставление конкурентам доступа к индексу поисковой системы Google на основе маржинальной стоимости, обязательство делиться результатами поиска и данными запросов из США в течение 10 лет, а также возможность для веб-сайтов отказаться от включения их контента в ИИ-обзоры Google без ухудшения позиций в результатах поиска.
Google раскритиковала предложения. Юрист Alphabet в своем блоге назвал действия Министерства юстиции «чрезмерными» и заявил, что они угрожают технологическому лидерству США. По мнению Google, предложение раскрывать как инновации компании, так и поисковые запросы пользователей может привести к передаче данных неизвестным компаниям, включая иностранные.
Ещё одним последствием предложений может стать сокращение инвестиций в развитие искусственного интеллекта. Google отметила, что компания занимает лидирующие позиции в этой сфере, и ограничения могут замедлить темпы инноваций, что негативно отразится на глобальной технологической конкурентоспособности США.
Одной из самых обсуждаемых мер стало требование к Google внедрить сразу два экрана выбора поисковой системы на устройствах Pixel. Дизайн экранов должен одобряться специально созданным техническим комитетом, что, как считают в компании, приведёт к излишнему вмешательству в её деятельность.
Google намерена подать свои предложения в следующем месяце и продолжит защищать свою позицию в дальнейшем. Представители компании напомнили, что суд ранее отметил высокое качество поисковой системы Google, которая заслужила доверие сотен миллионов пользователей по всему миру.
Министерство юстиции планирует обновить свои предложения к марту, а в апреле пройдет двухнедельное разбирательство по определению окончательных мер. Суд должен будет решить, как лучше восстановить конкуренцию. Примечательно, что процесс проходит на фоне смены администрации в Министерстве юстиции, что может повлиять на итоговые решения. Однако дело было начато еще при администрации Трампа, поэтому претензии несут долгосрочный характер.
Недавно Microsoft обвинила Google в ведении тайной кампании ради одобрения властей и антимонопольных органов Европы. По мнению Microsoft, Google намеренно скрывает свою роль в новом лоббистском объединении Open Cloud Coalition , чтобы показать инициативу как независимую. По утверждениям Microsoft, Google основала коалицию, но специально вывела на первый план небольшие европейские компании, скрыв свою собственную роль в управлении и финансировании.
🔔 ITsec NEWS
⚡️Модельное агентство для ИИ: революция заработка в Instagram
💬 В Instagram* растёт число аккаунтов, созданных с помощью ИИ. Аккаунты воруют фото и видео у реальных моделей и контент-мейкеров, заменяя их лица сгенерированными ИИ. Такой контент используют для заработка на сайтах знакомств, OnlyFans, Patreon и различных ИИ-приложений. Платформа пока не справляется с проблемой, что создаёт проблемы для настоящих авторов.
Специалисты 404 Media совместно с WIRED изучили больше 1000 таких аккаунтов и обнаружили, что их создание стало очень простым. В Discord-сообществах и специальных руководствах подробно рассказывают, как с помощью готовых ИИ-приложений генерировать фото, редактировать изображения и делать видео с заменой лиц. Некоторые из приложений доступны в App Store и Google Play. Явление быстро масштабируется, и в будущем такие аккаунты могут захватить соцсети.
Многие аккаунты используют дипфейки, заменяя лица реальных людей в видео. Например, недавно удалённый аккаунт «Chloe Johnson» с 170 000 подписчиков публиковал видео, украденные у известных моделей, а также менее известных пользователей TikTok и Instagram.
Создатели таких аккаунтов зарабатывают большие деньги. Один из авторов руководства для ИИ-моделей утверждает, что за полгода заработал миллион долларов. В инструкциях подробно описывают, как монетизировать контент через платные подписки, продажу фото и видео, а также вести переписку с подписчиками, чтобы увеличить доход. Некоторые из аккаунтов участвовали в конкурсах, а их авторы создавали целые агентства для управления ИИ-моделями.
Реальные контент-мейкеры страдают из-за конкуренции с такими аккаунтами. Некоторые модели отмечают, что их охваты в Instagram сильно упали. Если раньше модели получали до 5 миллионов просмотров в месяц, то теперь этот показатель редко превышает 1 миллион. Жалобы на фейковые аккаунты часто бесполезны: Instagram удаляет их только по запросу правообладателей, а сами авторы рискуют попасть под блокировку в процессе жалобы.
Эксперты отмечают, что Instagram не только не борется с такими аккаунтами, но и получает от них выгоду. Искусственно созданный контент привлекает зрителей, а это позволяет платформе продавать рекламу. Эксперты уверены, что без вмешательства платформ и более строгого контроля использование генеративного ИИ продолжит расти, что создаст ещё больше трудностей для реальных пользователей и авторов.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
💬 В Instagram* растёт число аккаунтов, созданных с помощью ИИ. Аккаунты воруют фото и видео у реальных моделей и контент-мейкеров, заменяя их лица сгенерированными ИИ. Такой контент используют для заработка на сайтах знакомств, OnlyFans, Patreon и различных ИИ-приложений. Платформа пока не справляется с проблемой, что создаёт проблемы для настоящих авторов.
Специалисты 404 Media совместно с WIRED изучили больше 1000 таких аккаунтов и обнаружили, что их создание стало очень простым. В Discord-сообществах и специальных руководствах подробно рассказывают, как с помощью готовых ИИ-приложений генерировать фото, редактировать изображения и делать видео с заменой лиц. Некоторые из приложений доступны в App Store и Google Play. Явление быстро масштабируется, и в будущем такие аккаунты могут захватить соцсети.
Многие аккаунты используют дипфейки, заменяя лица реальных людей в видео. Например, недавно удалённый аккаунт «Chloe Johnson» с 170 000 подписчиков публиковал видео, украденные у известных моделей, а также менее известных пользователей TikTok и Instagram.
Создатели таких аккаунтов зарабатывают большие деньги. Один из авторов руководства для ИИ-моделей утверждает, что за полгода заработал миллион долларов. В инструкциях подробно описывают, как монетизировать контент через платные подписки, продажу фото и видео, а также вести переписку с подписчиками, чтобы увеличить доход. Некоторые из аккаунтов участвовали в конкурсах, а их авторы создавали целые агентства для управления ИИ-моделями.
Реальные контент-мейкеры страдают из-за конкуренции с такими аккаунтами. Некоторые модели отмечают, что их охваты в Instagram сильно упали. Если раньше модели получали до 5 миллионов просмотров в месяц, то теперь этот показатель редко превышает 1 миллион. Жалобы на фейковые аккаунты часто бесполезны: Instagram удаляет их только по запросу правообладателей, а сами авторы рискуют попасть под блокировку в процессе жалобы.
Эксперты отмечают, что Instagram не только не борется с такими аккаунтами, но и получает от них выгоду. Искусственно созданный контент привлекает зрителей, а это позволяет платформе продавать рекламу. Эксперты уверены, что без вмешательства платформ и более строгого контроля использование генеративного ИИ продолжит расти, что создаст ещё больше трудностей для реальных пользователей и авторов.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
⚡️«Аккаунт заблокирован»: как подростки заработали состояние на фейковых СМС
💬 Минюст США предъявил обвинения пяти предполагаемым участникам группировки Scattered Spider, которые с сентября 2021 по апрель 2023 года похитила миллионы долларов из криптокошельков, используя украденные учетные данные. Атакам подверглись как физические лица, так и компании.
Scattered Spider специализируется на атаках социальной инженерии, выдавая себя за специалистов техподдержки, и применяет методы фишинга и смишинга для кражи данных сотрудников целевых организаций.
По данным следствия, обвиняемые организовали серию атак, рассылая фишинговые SMS сотрудникам различных компаний. Сообщения содержали уведомления, например, о блокировке учетной записи или VPN-сети, и ссылки на фальшивые сайты, имитирующие порталы компаний. На таких сайтах пользователи вводили конфиденциальные данные, включая учетные записи и коды двухфакторной аутентификации.
Похищенные учетные данные использовались для извлечения конфиденциальной информации, включая базы данных, интеллектуальную собственность и личные данные. Собранные сведения применялись для захвата почтовых аккаунтов жертв с помощью метода SIM Swapping, что позволило преступникам контролировать телефонные номера и криптокошельки, переводя средства на собственные счета.
Среди обвиняемых – 4 гражданина США и 1 гражданин Великобритании возрастом от 20 до 25 лет. Каждому из обвиняемых грозит до 20 лет тюрьмы за мошенничество с использованием проводных средств связи, 5 лет за сговор и дополнительный обязательный 2-ухлетний срок за кражу личных данных.
Scattered Spider, также известная как 0ktapus, Scatter Swine, Octo Tempest, представляет собой группу англоязычных хакеров с разным уровнем подготовки. Организационная структура группы отличается гибкостью, что затрудняет отслеживание деятельности и привязку атак к конкретным лицам. Атака на MGM Resorts и Caesars Entertainment в прошлом году, которая привела к сбоям в работе казино и отелей в Лас-Вегасе, значительно укрепила статус Scattered Spider в киберпреступном сообществе.
В июне в Испании задержали ключевого члена Scattered Spider — 22-летнего гражданина Великобритании, когда тот пытался сесть на рейс в Италию. А в июле в Великобритании в руки полиции попал 17-летний подросток.
Ранее представители ФБР высказывали предположения, что группировка состоит преимущественно из молодых людей и даже тинейджеров. Вполне возможно, что именно из-за юного возраста и определённой степени максимализма, злоумышленники используют столь жёсткие методы.
🔔 ITsec NEWS
💬 Минюст США предъявил обвинения пяти предполагаемым участникам группировки Scattered Spider, которые с сентября 2021 по апрель 2023 года похитила миллионы долларов из криптокошельков, используя украденные учетные данные. Атакам подверглись как физические лица, так и компании.
Scattered Spider специализируется на атаках социальной инженерии, выдавая себя за специалистов техподдержки, и применяет методы фишинга и смишинга для кражи данных сотрудников целевых организаций.
По данным следствия, обвиняемые организовали серию атак, рассылая фишинговые SMS сотрудникам различных компаний. Сообщения содержали уведомления, например, о блокировке учетной записи или VPN-сети, и ссылки на фальшивые сайты, имитирующие порталы компаний. На таких сайтах пользователи вводили конфиденциальные данные, включая учетные записи и коды двухфакторной аутентификации.
Похищенные учетные данные использовались для извлечения конфиденциальной информации, включая базы данных, интеллектуальную собственность и личные данные. Собранные сведения применялись для захвата почтовых аккаунтов жертв с помощью метода SIM Swapping, что позволило преступникам контролировать телефонные номера и криптокошельки, переводя средства на собственные счета.
Среди обвиняемых – 4 гражданина США и 1 гражданин Великобритании возрастом от 20 до 25 лет. Каждому из обвиняемых грозит до 20 лет тюрьмы за мошенничество с использованием проводных средств связи, 5 лет за сговор и дополнительный обязательный 2-ухлетний срок за кражу личных данных.
Scattered Spider, также известная как 0ktapus, Scatter Swine, Octo Tempest, представляет собой группу англоязычных хакеров с разным уровнем подготовки. Организационная структура группы отличается гибкостью, что затрудняет отслеживание деятельности и привязку атак к конкретным лицам. Атака на MGM Resorts и Caesars Entertainment в прошлом году, которая привела к сбоям в работе казино и отелей в Лас-Вегасе, значительно укрепила статус Scattered Spider в киберпреступном сообществе.
В июне в Испании задержали ключевого члена Scattered Spider — 22-летнего гражданина Великобритании, когда тот пытался сесть на рейс в Италию. А в июле в Великобритании в руки полиции попал 17-летний подросток.
Ранее представители ФБР высказывали предположения, что группировка состоит преимущественно из молодых людей и даже тинейджеров. Вполне возможно, что именно из-за юного возраста и определённой степени максимализма, злоумышленники используют столь жёсткие методы.
🔔 ITsec NEWS
⚡️Пароли в завещании: японская инициатива для упрощения жизни после смерти
💬 Японский Национальный центр по делам потребителей выступил с рекомендацией о планировании «цифрового наследия», чтобы упростить близким процесс управления аккаунтами и подписками граждан страны после их смерти. Эта инициатива возникла из-за множества случаев, когда родственники сталкивались с трудностями при отмене подписок из-за отсутствия доступа к аккаунтам умерших.
Центр предлагает четыре шага для минимизации таких сложностей:
назначить доверенное лицо для управления цифровыми данными (в сервисах, которые это поддерживают)
обеспечить доступ близких к вашим устройствам, выписав ключевые логины, пароли и пин-коды;
создать список со всем перечнем оформленных подписок;
внести все вышеуказанные данные в завещание.
С ростом популярности смартфонов и онлайн-сервисов необходимость в подобном планировании становится всё более актуальной. Родственники сталкиваются с проблемами закрытия аккаунтов или отмены подписок, что приводит к нежелательным расходам.
Одним из решений могут стать приложения, работающие в режиме «переключатель мертвеца». Эти сервисы отправляют данные выбранным лицам, если пользователь долгое время не входил в аккаунт.
Кроме того, условная Meta* предоставляет возможность назначить так называемого «хранителя» (Legacy Contact) — наследующего полномочия пользователя, который сможет управлять аккаунтом после официального подтверждения смерти владельца.
Подобные функции значительно облегчают многие процессы для родственников, которые и без того испытывают сильный стресс. Эксперты подчёркивают, что заранее подготовленные данные помогают избежать финансовых и эмоциональных трудностей.
Идея цифрового планирования не только помогает упорядочить своё наследство, но и открывает новые возможности для предпринимателей, создающих подобные сервисы. Рано или поздно такую функциональность сможет обеспечить большинство сайтов и сервисов, и вопрос остаётся лишь в том, превратится ли наше цифровое наследие в упорядоченный архив или останется хаотичным отголоском прошлого, лежащим где-то в сети.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
💬 Японский Национальный центр по делам потребителей выступил с рекомендацией о планировании «цифрового наследия», чтобы упростить близким процесс управления аккаунтами и подписками граждан страны после их смерти. Эта инициатива возникла из-за множества случаев, когда родственники сталкивались с трудностями при отмене подписок из-за отсутствия доступа к аккаунтам умерших.
Центр предлагает четыре шага для минимизации таких сложностей:
назначить доверенное лицо для управления цифровыми данными (в сервисах, которые это поддерживают)
обеспечить доступ близких к вашим устройствам, выписав ключевые логины, пароли и пин-коды;
создать список со всем перечнем оформленных подписок;
внести все вышеуказанные данные в завещание.
С ростом популярности смартфонов и онлайн-сервисов необходимость в подобном планировании становится всё более актуальной. Родственники сталкиваются с проблемами закрытия аккаунтов или отмены подписок, что приводит к нежелательным расходам.
Одним из решений могут стать приложения, работающие в режиме «переключатель мертвеца». Эти сервисы отправляют данные выбранным лицам, если пользователь долгое время не входил в аккаунт.
Кроме того, условная Meta* предоставляет возможность назначить так называемого «хранителя» (Legacy Contact) — наследующего полномочия пользователя, который сможет управлять аккаунтом после официального подтверждения смерти владельца.
Подобные функции значительно облегчают многие процессы для родственников, которые и без того испытывают сильный стресс. Эксперты подчёркивают, что заранее подготовленные данные помогают избежать финансовых и эмоциональных трудностей.
Идея цифрового планирования не только помогает упорядочить своё наследство, но и открывает новые возможности для предпринимателей, создающих подобные сервисы. Рано или поздно такую функциональность сможет обеспечить большинство сайтов и сервисов, и вопрос остаётся лишь в том, превратится ли наше цифровое наследие в упорядоченный архив или останется хаотичным отголоском прошлого, лежащим где-то в сети.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
⚡️Цукерберг в осаде: мошенники захватили 21 млн пользователей BlueSky
💬 В соцстеи BlueSky, которая недавно преодолела отметку в 21 миллион пользователей, начали появляться криптовалютные мошенники. По данным BleepingComputer, киберпреступники публикуют фейковые посты, используя имя известных брендов для продвижения сомнительных криптоактивов.
Среди обнаруженных постов выделяются публикации с изображениями Марка Цукерберга и рекламой криптоактивов MetaChain и MetaCoin, которые создают ложные ассоциации с корпорацией Meta* и её концепцией метавселенной. Веб-сайт MetaChain[.]cash, указанный в постах, имитирует стиль бренда компании, включая шрифты и дизайн, вводя пользователей в заблуждение.
В других публикациях обещали «$900 000 в биткоинах», перенаправляя пользователей на сайт «cryptos-satoshi.github[.]io», который в настоящее время недоступен. В комментариях пользователи BlueSky выразили разочарование, отмечая, что мошеннические схемы добрались и до этой платформы.
Также в одном из случаев в посте используются фрагменты видео из популярных телешоу, например, Last Week Tonight With John Oliver, и указываются хэштеги #musk #tesla #blockchain для повышения вовлеченности.
BlueSky сообщает о резком росте числа жалоб. За последние сутки платформа получила свыше 42 000 жалоб, что стало рекордным показателем. В среднем поступает около 3 000 жалоб в час. Команда BlueSky подтвердила, что рост аудитории платформы привёл к увеличению активности спамеров и мошенников. В ответ на это была усилена модерация, а пользователям предложено сообщать о сомнительных постах через специальное меню.
BlueSky основана на децентрализованном протоколе AT, что позволяет пользователям создавать собственные серверы и управлять контентом независимо. Это даёт больше свободы и контроля над данными, но создаёт и уникальные проблемы. Например, мошенники могут запускать свои серверы BlueSky для продвижения подозрительных схем, обходя модерацию основного сервера «bsky.app».
Некоторые мошеннические посты были размещены на сторонних серверах BlueSky, например, Subium. Публикации взаимодействуют с основной платформой, что увеличивает их видимость. Кроме того, такие посты могут индексироваться поисковыми системами, повышая рейтинг мошеннических сайтов в результатах поиска.
Децентрализованная структура BlueSky требует новых подходов к модерации и борьбе с мошенничеством. Платформа активно работает над усилением контроля, но особенности архитектуры AT протокола создают дополнительные сложности. По мере роста популярности BlueSky необходимость в эффективных механизмах защиты пользователей становится всё более острой.
🔔 ITsec NEWS
💬 В соцстеи BlueSky, которая недавно преодолела отметку в 21 миллион пользователей, начали появляться криптовалютные мошенники. По данным BleepingComputer, киберпреступники публикуют фейковые посты, используя имя известных брендов для продвижения сомнительных криптоактивов.
Среди обнаруженных постов выделяются публикации с изображениями Марка Цукерберга и рекламой криптоактивов MetaChain и MetaCoin, которые создают ложные ассоциации с корпорацией Meta* и её концепцией метавселенной. Веб-сайт MetaChain[.]cash, указанный в постах, имитирует стиль бренда компании, включая шрифты и дизайн, вводя пользователей в заблуждение.
В других публикациях обещали «$900 000 в биткоинах», перенаправляя пользователей на сайт «cryptos-satoshi.github[.]io», который в настоящее время недоступен. В комментариях пользователи BlueSky выразили разочарование, отмечая, что мошеннические схемы добрались и до этой платформы.
Также в одном из случаев в посте используются фрагменты видео из популярных телешоу, например, Last Week Tonight With John Oliver, и указываются хэштеги #musk #tesla #blockchain для повышения вовлеченности.
BlueSky сообщает о резком росте числа жалоб. За последние сутки платформа получила свыше 42 000 жалоб, что стало рекордным показателем. В среднем поступает около 3 000 жалоб в час. Команда BlueSky подтвердила, что рост аудитории платформы привёл к увеличению активности спамеров и мошенников. В ответ на это была усилена модерация, а пользователям предложено сообщать о сомнительных постах через специальное меню.
BlueSky основана на децентрализованном протоколе AT, что позволяет пользователям создавать собственные серверы и управлять контентом независимо. Это даёт больше свободы и контроля над данными, но создаёт и уникальные проблемы. Например, мошенники могут запускать свои серверы BlueSky для продвижения подозрительных схем, обходя модерацию основного сервера «bsky.app».
Некоторые мошеннические посты были размещены на сторонних серверах BlueSky, например, Subium. Публикации взаимодействуют с основной платформой, что увеличивает их видимость. Кроме того, такие посты могут индексироваться поисковыми системами, повышая рейтинг мошеннических сайтов в результатах поиска.
Децентрализованная структура BlueSky требует новых подходов к модерации и борьбе с мошенничеством. Платформа активно работает над усилением контроля, но особенности архитектуры AT протокола создают дополнительные сложности. По мере роста популярности BlueSky необходимость в эффективных механизмах защиты пользователей становится всё более острой.
🔔 ITsec NEWS
⚡️Кибератака на миллионы: новая уязвимость в Yealink Meeting Server угрожает 140 странам
💬 Эксперты из Positive Technologies обнаружили критическую уязвимость CVE-2024-48352 в системе видеоконференц-связи Yealink Meeting Server, которая могла привести к утечке учетных данных, конфиденциальной информации и предоставить злоумышленникам доступ к корпоративной сети. Проблема была устранена вендором после уведомления в рамках политики ответственного раскрытия, и пользователям рекомендовано установить последнее обновление.
По открытым данным, в октябре 2024 года насчитывалось 461 система с данной уязвимостью, большинство из которых располагалось в Китае (64%), России (13%), Польше (5%), а также в Индонезии, Бразилии, Таиланде, Финляндии, Иране и Германии. Продукты Yealink широко используются в корпоративной среде, что делает подобные уязвимости особенно опасными.
Технически уязвимость позволяла неавторизованному злоумышленнику получить учетные данные пользователей системы, что открывало доступ к информации внутри организации. Кроме того, ошибка могла быть использована для атак на корпоративную сеть с выполнением произвольного кода.
В 2024 году это уже второй случай выявления критической уязвимости в Yealink Meeting Server. Ранее в январе была обнаружена ошибка, позволяющая атакующему получить доступ к учетной записи сервера. Совместная эксплуатация обеих уязвимостей позволяет провести атаку типа Pre-Auth RCE, что повышает риски для организаций, не обновивших ПО.
Системы видеоконференций, такие как Yealink Meeting Server, активно используются в бизнесе благодаря широкому функционалу: они обеспечивают проведение онлайн-совещаний, вебинаров и видеозвонков с поддержкой нескольких участников. Однако их безопасность во многом зависит от своевременного обновления и контроля. Помимо базовых мер, таких как установка патчей, рекомендуется изолировать серверы видеоконференций от основной корпоративной сети, применять двухфакторную аутентификацию и регулярно проводить тестирование систем на уязвимости.
Инциденты такого рода подчеркивают важность регулярного аудита и обновления ПО, особенно в условиях, когда онлайн-совещания стали неотъемлемой частью корпоративной работы.
🔔 ITsec NEWS
💬 Эксперты из Positive Technologies обнаружили критическую уязвимость CVE-2024-48352 в системе видеоконференц-связи Yealink Meeting Server, которая могла привести к утечке учетных данных, конфиденциальной информации и предоставить злоумышленникам доступ к корпоративной сети. Проблема была устранена вендором после уведомления в рамках политики ответственного раскрытия, и пользователям рекомендовано установить последнее обновление.
По открытым данным, в октябре 2024 года насчитывалось 461 система с данной уязвимостью, большинство из которых располагалось в Китае (64%), России (13%), Польше (5%), а также в Индонезии, Бразилии, Таиланде, Финляндии, Иране и Германии. Продукты Yealink широко используются в корпоративной среде, что делает подобные уязвимости особенно опасными.
Технически уязвимость позволяла неавторизованному злоумышленнику получить учетные данные пользователей системы, что открывало доступ к информации внутри организации. Кроме того, ошибка могла быть использована для атак на корпоративную сеть с выполнением произвольного кода.
В 2024 году это уже второй случай выявления критической уязвимости в Yealink Meeting Server. Ранее в январе была обнаружена ошибка, позволяющая атакующему получить доступ к учетной записи сервера. Совместная эксплуатация обеих уязвимостей позволяет провести атаку типа Pre-Auth RCE, что повышает риски для организаций, не обновивших ПО.
Системы видеоконференций, такие как Yealink Meeting Server, активно используются в бизнесе благодаря широкому функционалу: они обеспечивают проведение онлайн-совещаний, вебинаров и видеозвонков с поддержкой нескольких участников. Однако их безопасность во многом зависит от своевременного обновления и контроля. Помимо базовых мер, таких как установка патчей, рекомендуется изолировать серверы видеоконференций от основной корпоративной сети, применять двухфакторную аутентификацию и регулярно проводить тестирование систем на уязвимости.
Инциденты такого рода подчеркивают важность регулярного аудита и обновления ПО, особенно в условиях, когда онлайн-совещания стали неотъемлемой частью корпоративной работы.
🔔 ITsec NEWS
⚡️Вирус в коде PyPI: Стилер Jarka ворует данные из Telegram и Discord
💬 Эксперты ЛК обнаружили атаку на цепочку поставок программного обеспечения, продолжавшуюся почти год. Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей. После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных.
Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России. Атака, судя по всему, не была нацелена на определённые регионы или организации.
Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java. Зловред способен похищать данные из браузеров, делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.
Jarka распространялся через Telegram-канал по модели MaaS (вредоносное ПО как услуга), а исходный код был загружен на GitHub, что делает его доступным для скачивания. Лингвистические признаки в коде и рекламных материалах указывают на русскоязычного разработчика.
Вредоносные пакеты были удалены после уведомления платформы, однако атака подчеркнула риски, связанные с интеграцией компонентов с открытым исходным кодом. Специалисты подчёркивают важность проверки целостности кода на всех этапах разработки для предотвращения подобных угроз.
🔔 ITsec NEWS
💬 Эксперты ЛК обнаружили атаку на цепочку поставок программного обеспечения, продолжавшуюся почти год. Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей. После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных.
Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России. Атака, судя по всему, не была нацелена на определённые регионы или организации.
Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java. Зловред способен похищать данные из браузеров, делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.
Jarka распространялся через Telegram-канал по модели MaaS (вредоносное ПО как услуга), а исходный код был загружен на GitHub, что делает его доступным для скачивания. Лингвистические признаки в коде и рекламных материалах указывают на русскоязычного разработчика.
Вредоносные пакеты были удалены после уведомления платформы, однако атака подчеркнула риски, связанные с интеграцией компонентов с открытым исходным кодом. Специалисты подчёркивают важность проверки целостности кода на всех этапах разработки для предотвращения подобных угроз.
🔔 ITsec NEWS
⚡️Принтер как инструмент: новый метод шантажа BianLian охватил критическую инфраструктуру
💬 ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.
BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.
Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows.
Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.
Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.
Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.
🔔 ITsec NEWS
💬 ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.
BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.
Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows.
Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.
Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.
Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.
🔔 ITsec NEWS
⚡️Топ-25 киберугроз по версии MITRE: уязвимости, которые хакеры используют как оружие
💬 Компания MITRE представила обновлённый список из 25 наиболее опасных уязвимостей программного обеспечения, которые были выявлены среди 31 770 идентификаторов CVE с июня 2023 по июнь 2024 года. Эти уязвимости приводят к критическим сбоям, позволяя злоумышленникам получать контроль над системами, воровать данные и запускать атаки типа отказа в обслуживании.
Ключевые слабости в программном обеспечении связаны с ошибками в коде, архитектуре и дизайне. MITRE подчёркивает, что такие проблемы часто легко находить и использовать, что делает их серьёзной угрозой для систем. В этом году рейтинг основывался на анализе уязвимостей, включённых в каталог известных эксплуатируемых уязвимостей CISA (KEV).
CISA добавила, что приоритетное внимание к этим проблемам помогает разработчикам предотвращать уязвимости ещё на этапе создания программного обеспечения. В списке выделены такие опасности, как межсайтовый скриптинг ( CWE-79 ), запись за пределами выделенной памяти ( CWE-787 ) и SQL-инъекции ( CWE-89 ).
Также была подчёркнута важность устранения известных проблем. Например, агентства по кибербезопасности, входящие в альянс Five Eyes, в прошлом месяце выпустили совместный отчёт, в котором указали, что большинство часто эксплуатируемых уязвимостей в 2023 году были связаны с атаками типа zero-day, когда уязвимость была известна, но не устранена.
Особое внимание в отчёте уделено устранению проблем, связанных с использованием стандартных паролей, неправильной аутентификацией и выполнением команд ОС. CISA настоятельно рекомендует внедрять подходы «Secure by Design», чтобы исключать подобные уязвимости ещё на стадии проектирования.
В дополнение к рейтингу, MITRE указала на необходимость пересмотра инвестиций и стратегий в области кибербезопасности. Это позволит не только снизить риски, но и повысить устойчивость IT-систем перед лицом всё более сложных угроз.
🔔 ITsec NEWS
💬 Компания MITRE представила обновлённый список из 25 наиболее опасных уязвимостей программного обеспечения, которые были выявлены среди 31 770 идентификаторов CVE с июня 2023 по июнь 2024 года. Эти уязвимости приводят к критическим сбоям, позволяя злоумышленникам получать контроль над системами, воровать данные и запускать атаки типа отказа в обслуживании.
Ключевые слабости в программном обеспечении связаны с ошибками в коде, архитектуре и дизайне. MITRE подчёркивает, что такие проблемы часто легко находить и использовать, что делает их серьёзной угрозой для систем. В этом году рейтинг основывался на анализе уязвимостей, включённых в каталог известных эксплуатируемых уязвимостей CISA (KEV).
CISA добавила, что приоритетное внимание к этим проблемам помогает разработчикам предотвращать уязвимости ещё на этапе создания программного обеспечения. В списке выделены такие опасности, как межсайтовый скриптинг ( CWE-79 ), запись за пределами выделенной памяти ( CWE-787 ) и SQL-инъекции ( CWE-89 ).
Также была подчёркнута важность устранения известных проблем. Например, агентства по кибербезопасности, входящие в альянс Five Eyes, в прошлом месяце выпустили совместный отчёт, в котором указали, что большинство часто эксплуатируемых уязвимостей в 2023 году были связаны с атаками типа zero-day, когда уязвимость была известна, но не устранена.
Особое внимание в отчёте уделено устранению проблем, связанных с использованием стандартных паролей, неправильной аутентификацией и выполнением команд ОС. CISA настоятельно рекомендует внедрять подходы «Secure by Design», чтобы исключать подобные уязвимости ещё на стадии проектирования.
В дополнение к рейтингу, MITRE указала на необходимость пересмотра инвестиций и стратегий в области кибербезопасности. Это позволит не только снизить риски, но и повысить устойчивость IT-систем перед лицом всё более сложных угроз.
🔔 ITsec NEWS
⚡️8 дней бездны: как один хакер похитил будущее финтех-компании
💬 Финтех-компания Finastra стала жертвой кибератаки, в ходе которой было украдено более 400 ГБ данных. Инцидент произошёл на внутренней платформе для передачи данных. Хакер под ником «abyss0» выставил украденную информацию на продажу на форуме BreachForums.
8 ноября компания уведомила клиентов о взломе, заявив, что подозрительная активность была обнаружена днём ранее. По данным Finastra, злоумышленники не внедряли вредоносные программы и не вносили изменений в файлы клиентов, но успели похитить значительный объём данных.
Компания сообщила, что взлом произошёл в результате компрометации учётных данных. Для обеспечения безопасности была активирована альтернативная платформа для передачи данных. На данный момент ведётся анализ масштаба утечки и точной идентификации затронутых лиц. Также компания исключила вероятность прямого воздействия на операции клиентов.
Хакер «abyss0» разместил объявления о продаже данных 31 октября, не указав имя компании. Первоначальная цена составляла $20 000, но уже к 3 ноября была снижена до $10 000. 7 ноября хакер опубликовал новое сообщение, раскрыв связь данных с клиентами Finastra, среди которых оказались крупнейшие мировые банки. Вскоре аккаунт «abyss0» исчез с форума, а его профиль в Telegram был удалён.
Масштаб инцидента и его последствия для клиентов ещё предстоит оценить. Finastra продолжает расследование и намерена держать клиентов в курсе всех обновлений.
🔔 ITsec NEWS
💬 Финтех-компания Finastra стала жертвой кибератаки, в ходе которой было украдено более 400 ГБ данных. Инцидент произошёл на внутренней платформе для передачи данных. Хакер под ником «abyss0» выставил украденную информацию на продажу на форуме BreachForums.
8 ноября компания уведомила клиентов о взломе, заявив, что подозрительная активность была обнаружена днём ранее. По данным Finastra, злоумышленники не внедряли вредоносные программы и не вносили изменений в файлы клиентов, но успели похитить значительный объём данных.
Компания сообщила, что взлом произошёл в результате компрометации учётных данных. Для обеспечения безопасности была активирована альтернативная платформа для передачи данных. На данный момент ведётся анализ масштаба утечки и точной идентификации затронутых лиц. Также компания исключила вероятность прямого воздействия на операции клиентов.
Хакер «abyss0» разместил объявления о продаже данных 31 октября, не указав имя компании. Первоначальная цена составляла $20 000, но уже к 3 ноября была снижена до $10 000. 7 ноября хакер опубликовал новое сообщение, раскрыв связь данных с клиентами Finastra, среди которых оказались крупнейшие мировые банки. Вскоре аккаунт «abyss0» исчез с форума, а его профиль в Telegram был удалён.
Масштаб инцидента и его последствия для клиентов ещё предстоит оценить. Finastra продолжает расследование и намерена держать клиентов в курсе всех обновлений.
🔔 ITsec NEWS
⚡️От фишинга к квишингу: QR-коды становятся любимой игрушкой мошенников
💬 До 1994 года большинство технологий сканирования использовали одномерные штрих-коды, способные хранить всего до 80 буквенно-цифровых символов. Компания Denso Wave создала первые QR-коды, увеличив емкость до 7000 цифровых или 4300 буквенно-цифровых символов.
Исследование Cisco Talos показало: спам-фильтры практически бессильны против вредоносных QR-кодов, поскольку не способны распознать их присутствие в изображениях. Статистика показывает: хотя QR-коды встречаются лишь в одном из 500 электронных писем, шокирующие 60% из них содержат спам или вредоносное ПО.
Этот новый вид мошенничества еще очень молодой. Называется он "квишингом" (quishing). Злоумышленники создают поддельные сайты, имитирующие легитимные ресурсы, и размещают QR-коды в общественных местах. Например, было случаи, когда кто-то наклеивал на парковочные счетчики QR-стикеры, перенаправляющие жертв на поддельные платежные системы.
Письма с QR-кодами, маскирующиеся под запросы двухфакторной аутентификации - самая распространенная из уловок. Мошенники используют их для кражи учетных данных. При сканировании QR-кода с мобильного устройства весь последующий трафик между жертвой и злоумышленником проходит через сотовую сеть в обход корпоративных систем безопасности.
Несмотря на относительно небольшую долю таких писем (0,1-0,2% от общего объема), они намного чаще попадают в папку "Входящие", минуя спам-фильтры. Более того, изобретательные мошенники научились создавать QR-коды с помощью Unicode-символов, что еще больше усложняет их обнаружение. Традиционные методы обезвреживания вредоносных ссылок, например замена протокола "http" на "hxxp" или добавление скобок в URL, в этом случае работают значительно хуже.
Существуют способы сделать QR-коды безопасными для просмотра – например, путем маскировки модулей данных или удаления одного или нескольких шаблонов определения позиции (больших квадратов по углам кода). Однако эти уловки не всем понятны и пока не получили широкого распространения.
Отдельную угрозу представляет так называемое "QR-искусство" - изображения, в которых код замаскирован под обычную картинку. Пользователь может случайно отсканировать его камерой и перейти по вредоносной ссылке, даже не осознав этого.
Аналитики Cisco Talos советуют проявлять такую же осторожность при сканировании кодов, как и при переходе по подозрительным ссылкам. Для тех, кто регулярно использует их, существуют специальные онлайн-декодеры, позволяющие предварительно проверить содержимое.
Помните: простота и удобство QR-технологий не должны затмевать необходимость соблюдения базовых правил цифровой безопасности.
🔔 ITsec NEWS
💬 До 1994 года большинство технологий сканирования использовали одномерные штрих-коды, способные хранить всего до 80 буквенно-цифровых символов. Компания Denso Wave создала первые QR-коды, увеличив емкость до 7000 цифровых или 4300 буквенно-цифровых символов.
Исследование Cisco Talos показало: спам-фильтры практически бессильны против вредоносных QR-кодов, поскольку не способны распознать их присутствие в изображениях. Статистика показывает: хотя QR-коды встречаются лишь в одном из 500 электронных писем, шокирующие 60% из них содержат спам или вредоносное ПО.
Этот новый вид мошенничества еще очень молодой. Называется он "квишингом" (quishing). Злоумышленники создают поддельные сайты, имитирующие легитимные ресурсы, и размещают QR-коды в общественных местах. Например, было случаи, когда кто-то наклеивал на парковочные счетчики QR-стикеры, перенаправляющие жертв на поддельные платежные системы.
Письма с QR-кодами, маскирующиеся под запросы двухфакторной аутентификации - самая распространенная из уловок. Мошенники используют их для кражи учетных данных. При сканировании QR-кода с мобильного устройства весь последующий трафик между жертвой и злоумышленником проходит через сотовую сеть в обход корпоративных систем безопасности.
Несмотря на относительно небольшую долю таких писем (0,1-0,2% от общего объема), они намного чаще попадают в папку "Входящие", минуя спам-фильтры. Более того, изобретательные мошенники научились создавать QR-коды с помощью Unicode-символов, что еще больше усложняет их обнаружение. Традиционные методы обезвреживания вредоносных ссылок, например замена протокола "http" на "hxxp" или добавление скобок в URL, в этом случае работают значительно хуже.
Существуют способы сделать QR-коды безопасными для просмотра – например, путем маскировки модулей данных или удаления одного или нескольких шаблонов определения позиции (больших квадратов по углам кода). Однако эти уловки не всем понятны и пока не получили широкого распространения.
Отдельную угрозу представляет так называемое "QR-искусство" - изображения, в которых код замаскирован под обычную картинку. Пользователь может случайно отсканировать его камерой и перейти по вредоносной ссылке, даже не осознав этого.
Аналитики Cisco Talos советуют проявлять такую же осторожность при сканировании кодов, как и при переходе по подозрительным ссылкам. Для тех, кто регулярно использует их, существуют специальные онлайн-декодеры, позволяющие предварительно проверить содержимое.
Помните: простота и удобство QR-технологий не должны затмевать необходимость соблюдения базовых правил цифровой безопасности.
🔔 ITsec NEWS
⚡️1,5 миллиона медицинских карт оказались в руках злоумышленников
💬 В результате кибератаки на сеть французских больниц были скомпрометированы данные 1,5 миллиона пациентов. Хакер под псевдонимом «nears» заявил, что имеет доступ к медицинским картам всех пострадавших, однако пока лишь половина из имеющегося массива была выставлена на продажу.
Злоумышленник утверждает, что взломал систему MediBoard, разработанную Softway Medical Group. Эта компания предоставляет решения для управления медицинскими данными в Европе. Softway Medical подтвердила факт атаки, подчеркнув, что утечка произошла из-за использования украденных учётных данных, а не из-за уязвимости в их программном обеспечении.
Согласно заявлению компании, похищенные данные пациентов хранились не у Softway Medical, а на серверах самой больницы. В электронном письме Softway Medical отметила: «Наше программное обеспечение не является причиной инцидента. Компрометация произошла через привилегированный аккаунт в инфраструктуре клиента». В качестве клиента, в данном случае, выступает компания Aléo Santé, которой и принадлежат все пострадавшие больницы.
Киберпреступник выставил на продажу доступ к платформе MediBoard для больниц Centre Luxembourg и Clinique Alleray-Labrouste. Предполагается, что покупатели могут получить доступ к конфиденциальным данным пациентов, включая историю здоровья, контактные данные и информацию о назначениях.
Чтобы доказать факт взлома, хакер разместил на продажу записи более 750 тысяч пациентов одной из больниц. Эти данные содержат полные имена, адреса, номера телефонов, электронные адреса, назначения врачей и историю использования медицинских карт.
Пока что покупателей не замечено. Однако, даже если базу данных купят, всегда остаётся риск, что позже эта информация всё равно будет опубликована в открытом доступе, став ценным материалом для тысяч киберпреступников со всего мира. Эксперты предупреждают, что утечка подобной информации существенно увеличивает вероятность фишинга, мошенничества и атак социальной инженерии на пострадавших.
🔔 ITsec NEWS
💬 В результате кибератаки на сеть французских больниц были скомпрометированы данные 1,5 миллиона пациентов. Хакер под псевдонимом «nears» заявил, что имеет доступ к медицинским картам всех пострадавших, однако пока лишь половина из имеющегося массива была выставлена на продажу.
Злоумышленник утверждает, что взломал систему MediBoard, разработанную Softway Medical Group. Эта компания предоставляет решения для управления медицинскими данными в Европе. Softway Medical подтвердила факт атаки, подчеркнув, что утечка произошла из-за использования украденных учётных данных, а не из-за уязвимости в их программном обеспечении.
Согласно заявлению компании, похищенные данные пациентов хранились не у Softway Medical, а на серверах самой больницы. В электронном письме Softway Medical отметила: «Наше программное обеспечение не является причиной инцидента. Компрометация произошла через привилегированный аккаунт в инфраструктуре клиента». В качестве клиента, в данном случае, выступает компания Aléo Santé, которой и принадлежат все пострадавшие больницы.
Киберпреступник выставил на продажу доступ к платформе MediBoard для больниц Centre Luxembourg и Clinique Alleray-Labrouste. Предполагается, что покупатели могут получить доступ к конфиденциальным данным пациентов, включая историю здоровья, контактные данные и информацию о назначениях.
Чтобы доказать факт взлома, хакер разместил на продажу записи более 750 тысяч пациентов одной из больниц. Эти данные содержат полные имена, адреса, номера телефонов, электронные адреса, назначения врачей и историю использования медицинских карт.
Пока что покупателей не замечено. Однако, даже если базу данных купят, всегда остаётся риск, что позже эта информация всё равно будет опубликована в открытом доступе, став ценным материалом для тысяч киберпреступников со всего мира. Эксперты предупреждают, что утечка подобной информации существенно увеличивает вероятность фишинга, мошенничества и атак социальной инженерии на пострадавших.
🔔 ITsec NEWS
⚡️Охота на Huracan: суперкар разоблачил синдикат угонщиков и хакеров
💬 Lamborghini Huracan бейсболиста Криса Брайанта был похищен во время транспортировки в Лас-Вегас. Злоумышленники смогли изменить маршрут доставки, но автомобиль удалось вернуть менее чем через неделю, что помогло выйти на след нескольких подозреваемых и других украденных машин.
Игрок команды Colorado Rockies поручил транспортной компании перевезти Lamborghini Huracan из штата Колорадо в Лас-Вегас (штат Невада), где спортсмен играл в межсезонье. Однако автомобиль так и не прибыл в место назначения. Полиция зарегистрировала пропажу 2 октября и начала расследование.
Оказалось, что транспортная компания стала жертвой BEC-атаки, которая позволила преступникам организовать несанкционированную перевозку автомобилей по всей стране. Благодаря анализу данных с камер распознавания номерных знаков удалось восстановить маршрут передвижения грузовика и трейлера, которые доставляли Ламборгини.
Lamborghini Huracan 2023 года выпуска имел уникальные модификации, которые помогли идентифицировать машину, когда офицер полиции Лас-Вегаса заметил авто. Автомобиль был обнаружен 7 октября в районе Лас-Вегаса, а причастные к похищению лица задержаны.
Водитель Ламборгини заявил, что владеет автомастерской и получил запрос от незнакомца из Техаса на ремонт электронной системы автомобиля. Еще одного подозреваемого задержали в аэропорту Лас-Вегаса, где он должен был забрать Lamborghini. При обыске автомобиля полиция нашла инструменты для взлома машин.
Обнаружение автомобиля стало ключевым звеном в раскрытии более широкой преступной сети. В ходе дальнейшего расследования полиция получила информацию о других участниках преступной группы, что привело к нахождению ещё двух украденных автомобилей, комплектов поддельных VIN-номеров, фальшивых регистрационных документов, электронных ключей и инструментов для изменения госномеров. Кроме того, в рамках дела удалось вернуть ещё один автомобиль, похищенный ранее в Калифорнии.
Хотя в официальном заявлении полиции имя Брайанта не упоминалось, издание Denver Post связало инцидент именно с ним.
🔔 ITsec NEWS
💬 Lamborghini Huracan бейсболиста Криса Брайанта был похищен во время транспортировки в Лас-Вегас. Злоумышленники смогли изменить маршрут доставки, но автомобиль удалось вернуть менее чем через неделю, что помогло выйти на след нескольких подозреваемых и других украденных машин.
Игрок команды Colorado Rockies поручил транспортной компании перевезти Lamborghini Huracan из штата Колорадо в Лас-Вегас (штат Невада), где спортсмен играл в межсезонье. Однако автомобиль так и не прибыл в место назначения. Полиция зарегистрировала пропажу 2 октября и начала расследование.
Оказалось, что транспортная компания стала жертвой BEC-атаки, которая позволила преступникам организовать несанкционированную перевозку автомобилей по всей стране. Благодаря анализу данных с камер распознавания номерных знаков удалось восстановить маршрут передвижения грузовика и трейлера, которые доставляли Ламборгини.
Lamborghini Huracan 2023 года выпуска имел уникальные модификации, которые помогли идентифицировать машину, когда офицер полиции Лас-Вегаса заметил авто. Автомобиль был обнаружен 7 октября в районе Лас-Вегаса, а причастные к похищению лица задержаны.
Водитель Ламборгини заявил, что владеет автомастерской и получил запрос от незнакомца из Техаса на ремонт электронной системы автомобиля. Еще одного подозреваемого задержали в аэропорту Лас-Вегаса, где он должен был забрать Lamborghini. При обыске автомобиля полиция нашла инструменты для взлома машин.
Обнаружение автомобиля стало ключевым звеном в раскрытии более широкой преступной сети. В ходе дальнейшего расследования полиция получила информацию о других участниках преступной группы, что привело к нахождению ещё двух украденных автомобилей, комплектов поддельных VIN-номеров, фальшивых регистрационных документов, электронных ключей и инструментов для изменения госномеров. Кроме того, в рамках дела удалось вернуть ещё один автомобиль, похищенный ранее в Калифорнии.
Хотя в официальном заявлении полиции имя Брайанта не упоминалось, издание Denver Post связало инцидент именно с ним.
🔔 ITsec NEWS
⚡️Прачечная на $1 млрд: как разведка КНДР строит криптоимперию
💬 Полиция Южной Кореи подтвердила причастность хакеров, связанных разведкой Северной Кореи, к крупному хищению криптовалюты Ethereum в 2019 году. Сумма украденных активов на тот момент оценивалась в $41,5 млн.
Более половины похищенных средств были отмыты через 3 криптобиржи, созданные самими хакерами. Остальные средства распределились по 51 платформе. Преступники проникли на криптобиржу, где хранился Ethereum, и вывели 342 000 ETH. Сегодня их стоимость превышает $1 млрд.
Название биржи в заявлении не указано, но в 2019 году южнокорейская биржа Upbit сообщила о несанкционированном переводе 342 000 ETH на неизвестный кошелёк. Связаны ли эти 2 инцидента между собой, не уточняется.
Расследование установило, что атака была организована группами Lazarus и Andariel, связанными с разведкой Северной Кореи. Выводы основаны на анализе IP-адресов и отслеживании движения активов. Это стало первым случаем, когда Северная Корея была официально названа источником кибератаки на южнокорейскую криптобиржу.
Правоохранителям удалось отследить 4,8 BTC, переведённых на швейцарскую криптобиржу. В октябре активы были возвращены на южнокорейскую платформу. Сегодня их стоимость составляет около $427 800. Северная Корея отрицает причастность к кибератакам и хищениям криптовалют.
По данным ООН, с 2017 по 2024 год северокорейские хакеры совершили 97 кибератак на криптовалютные компании, нанеся ущерб на сумму около $3,6 млрд. Среди нападений была атака на криптобиржу HTX – в ноябре 2023 года хакеры украли $147,5 млн, а отмыли награбленное в марте 2024 года.
🔔 ITsec NEWS
💬 Полиция Южной Кореи подтвердила причастность хакеров, связанных разведкой Северной Кореи, к крупному хищению криптовалюты Ethereum в 2019 году. Сумма украденных активов на тот момент оценивалась в $41,5 млн.
Более половины похищенных средств были отмыты через 3 криптобиржи, созданные самими хакерами. Остальные средства распределились по 51 платформе. Преступники проникли на криптобиржу, где хранился Ethereum, и вывели 342 000 ETH. Сегодня их стоимость превышает $1 млрд.
Название биржи в заявлении не указано, но в 2019 году южнокорейская биржа Upbit сообщила о несанкционированном переводе 342 000 ETH на неизвестный кошелёк. Связаны ли эти 2 инцидента между собой, не уточняется.
Расследование установило, что атака была организована группами Lazarus и Andariel, связанными с разведкой Северной Кореи. Выводы основаны на анализе IP-адресов и отслеживании движения активов. Это стало первым случаем, когда Северная Корея была официально названа источником кибератаки на южнокорейскую криптобиржу.
Правоохранителям удалось отследить 4,8 BTC, переведённых на швейцарскую криптобиржу. В октябре активы были возвращены на южнокорейскую платформу. Сегодня их стоимость составляет около $427 800. Северная Корея отрицает причастность к кибератакам и хищениям криптовалют.
По данным ООН, с 2017 по 2024 год северокорейские хакеры совершили 97 кибератак на криптовалютные компании, нанеся ущерб на сумму около $3,6 млрд. Среди нападений была атака на криптобиржу HTX – в ноябре 2023 года хакеры украли $147,5 млн, а отмыли награбленное в марте 2024 года.
🔔 ITsec NEWS
